Joomla! Tem sido utilizada por muitas marcas famosas e organizações incluindo a Universidade de Harvard, Linux.com, Guggenheim, MTV, e UNRIC (United Nations Regional Information Centre for Western Europe).
Abaixo vamos listar dicas de como melhorar a segurança do seu Joomla:
1 – A segurança começa sobre a instalação
Ao instalar o seu cms joomla, sempre altere o prefixo da tabela do banco de dados, pois isso irá dificultar o famoso “sql injection”, pois assim ele não vai saber onde atacar.
Evite utilizar senhas fracas como por exemplo apenas nome ou apenas números, para se ter uma senha forte hoje em dia é altamente recomendado que se utilize senhas contendo caracteres especiais como “@#$%&*()”, juntamente com letra maiúscula e números.
Evite dar o nome de seu usuário administrador como o padrão “admin”.
2- Realizar backups regularmente.
Os backups dos arquivos e do banco de dados são a nossa última defesa contra a perda dos mesmos. Tais perdas podem acontecer por uma prática qualquer mal executada ou por um inimaginável desastre, devido a ataques hackers a seu site.
Esta tarefa pode ser feita por meio do Cpanel de qualquer conta do seu servidor, com a utilização do FTP Protocolo ou com a utilização de um componente especifico para esta tarefa de backup.
3- Atualização de segurança
É de extrema importância que periodicamente acesse o painel de controle de seu cms Joomla para verificar se está necessitando de atualização da plataforma ou de extensões e sempre manter atualizado, pois essas atualizações podem ser de segurança corrigindo alguma falha para evitar que seu site seja invadido.
4- Ter um nome de usuário e senha mais segura.
Não se dê ao trabalho de atualizar constantemente o Joomla, de seguir várias recomendações, para depois colocar tudo a perder com a utilização de uma senha não segura. Par que isto não aconteça, seguem abaixo algumas sugestões:
Senha: Para ter uma senha segura você deve ter letras maiúsculas, minúsculas, números e caracteres especiais. A senha não precisa ser muito extensa. Utilize por exemplo 3 letras maiúsculas, 3 números, 1 letra minúscula e 1 caractere especial. Exemplo: M82+EhY2
Nome de usuário: Sempre que o Joomla é instalado o nome de usuário por padrão é “admin”, e muitos não a modificam, bem como continuam a utilizá-la. Para dificultar a ação de invasores, altere o nome do usuário para alguma coisa mais difícil de adivinhar, você dificultará muito o acesso indevido à sua conta.
5- Desligar os relatórios de erro
Um das opções que você pode utilizar também é desligar os relatórios de erros. Esses relatórios de erros além de diminuírem a velocidade do site, indicam também aos “hackers” as falhas na segurança do site Joomla.
Os relatórios de erros podem ser desativados no Joomla 1.5 na sua aba de administração, conforme se vê na figura abixo:
site -> Configuração Globais -> Servidor.
6- Utilizar um componente SEF
De que forma os “hackers” decidem atacar o seu site? O método habitual é simples de explicar. Eles descobrem, por exemplo, que uma determinada versão de uma extensão está vulnerável, bem como a forma de explorar essa mesma vulnerabilidade. Depois procuram no Google por meio do comando inurl, a assinatura dessa extensão. O resultado é uma lista de sites vulneráveis, e se o seu site estiver nessa lista, adivinhe o que vai acontecer ?
Utilize um componente SEF (Eearch Engine Friendly) de modo a reescrever a sua url. Assim, o seu site não aparecerá mais naquelas listas e você terá mais sucesso nas pesquisas que lhe interessam dado que o seu site ficará mais otimizado para o Google.
7- Mudar o Prefixo da base de dados
Por padrão, ao se instalar o Joomla, o prefixo da base de dados será jos_. A maioria dos arquivos “hackers” escritos para comprometer um site Joomla, tentam adquirir informações da tabela jos_users. E, desta maneira, podem adquirir a password (senha) e username (nome de usuário) do administrador do website. Mudar o nome do prefixo para algo aleatório ajudará a impedir a maioria dos ataques “hackers”.
O prefixo pode ser escolhido no momento da instalação de um site Joomla mudando o prefixo padrão de jos_ para um que lhe for mais conveniente.
Se você já instalou seu site Joomla e não atentou para a mudança deste prefixo, recomendo que faça esta mudança para aumentar a segurança do seu Joomla.
Para efetuar esta mudança estou disponibilizando o vídeo-tutorial onde é mostrado o passo-a-passo de como fazer a substituição do prefixo do banco de dados por outro.
8- Configuration.php
Quando carregou o seu site para o servidor, teve que efectuar o upload dos ficheiros para um determinada pasta. Nos servidores com cpanel, é a pasta public_html. Ora, essa pasta é aquela que está acessível a qualquer utilizador anónimo. Se você colocar um ficheiro index.html nessa pasta, eu vou conseguir aceder a este ficheiro. O meu sobrinho de 3 anos vai conseguir. E qualquer outra pessoa com um browser vai também conseguir.
Essa pasta é a mais vulnerável em qualquer servidor. Portanto, é boa ideia mover os ficheiros mais sensíveis para uma pasta menos vulnerável. É o caso do ficheiro configuration.php. Mova esse ficheiro para uma pasta acima da public_html. Mude o nome do ficheiro para umnomequalquerqueeuseiemaisninguemsabe.php e coloque um novo ficheiro configuration.php no lugar do anterior, com o seguinte código:
<?
require( dirname( _FILE_ ) . ‘/../umnomequalquerqueeuseiemaisninguemsabe.php’);
?>
Mude as permissões deste novo ficheiro para 444. Se precisar de mudar as configurações, faça o manualmente no umnomequalquerqueeuseiemaisninguemsabe.php.
9- Templates
O habitual quando entro na pasta de templates do Joomla é encontrar lá meia dúzia de templates abandonados. Quando instalamos o Joomla pela primeira vez, parecemos uma diva a experimentar roupa. E depois deixamos os templates espalhados pelo quarto. Apague os templates que não está a utilizar. Quantos é que sobraram? Apenas um.
10- Plugins úteis para ajudar na segurança:
Abaixo você vai encontrar uma lista de plugins úteis que irá ajudá-lo a proteger seu site Joomla de invasões externas Claro que estes plugins não vão garantir 100% de proteção e talvez você nunca tenha esses problemas, mas melhor previnir do que remediar.
1. jHackGuard – Joomla Security Plugin
jHackGuard é desenvolvido pela SiteGround para proteger seu site contra ataques hacker. Fique também prevenido contra a maioria de ataques de injeção SQL, Inclusão Remota de URL/Arquivo, Execução de Código Remoto e ataques de XSS!
2. Akeeba Backup
O sucessor do famoso componente JoomlaPack. Em poucas palavras, Akeeba Core Backup é um componente de backup de código aberto para o Joomla, um pouco diferente do que seus concorrentes. Sua missão é simples: criar um backup do site que pode ser restaurado em qualquer servidor com capacidade Joomla! Suas possibilidades: infinitas. Ele cria um backup completo do seu site em um único arquivo.
3. EGuard
Esta é uma simples extensão que te ajudara a ter mais segurança em seu site . O login de administrador será protegido por um código de segurança. Caso contrário, você pode definir uma lista negra para o seu site e bloquear o sistema de BOT para acessar seu site .
4. Admin Tools
Admin Tools é um verdadeiro canivete suíço para o seu site . Corrigir seus arquivos e diretórios com as devidas’ permissões , proteger seu diretório de administrador com uma senha, alterar o seu prefixo de banco de dados, definir um seguro Super Administrador ID , migrar links apontando para seu antigo domínio on-the – fly e executar manutenção de banco de dados, todos com um único clique.
5. CD Login Confirmation
Um componente simples e eficaz , que acrescenta uma camada adicional de segurança para o back-end . Este componente envia para o seu endereço de e-mail ( após o login com sucesso ) uma mensagem de confirmação com o código de segurança. A administração está bloqueado até que você digite o código.
6. Anti-Hacker
É um componente de segurança que ajuda a reduzir o risco de seu site que está sendo hackeado , segurança de dados privados , proteção de seus arquivos de sistema contra códigos maliciosos e ataques , e principalmente aumentar a segurança do site.
7. EasyCalcCheck PLUS
Poteja seu site e extensões. Integração com as seguintes extensões: ALFContact, AlphaRegistration, CBE, Community Builder, DFContact, Easybook Reloaded, Flexi Contact, Job Board, JomSocial, Kunena Forum, Phoca Guestbook, QContacts und Virtuemart.